Lenovoの広報担当者は、影響を受けるモデル名やユーザーの数を具体的に明かそうとしなかったが、3日に同社のウェブサイトで公開したセキュリティアドバイザリに言及した。そこには次のような記載がある。「当社では脆弱性レポートを緊急に精査しており、できる限り早くアップデートおよび適切な修正を提供する予定だ。追加情報とアップデートは、用意でき次第このセキュリティアドバイザリページで公開する」
Lenovoはソフトウェアの脆弱性をいつ修正するか明らかにしていないが、セキュリティアドバイザリの中で、Lenovo Solution Centerをアンインストールすれば今回の脆弱性によるリスクは取り除かれると述べている。
東芝に関しては、ソフトウェアアップデートの検索機能などを備えたプリインストールアプリケーション「TOSHIBA Service Station」にセキュリティ脆弱性が見つかった。
slipstream/RoLによれば、このアプリにログインすると、標準のユーザーアカウントよりも高い権限を持つシステムユーザーとしてレジストリの一部を読むことができるという。ただし、攻撃者がセキュリティアカウントマネージャ(SAM)やブートキーを読み取ることはできないとslipstream/RoLは述べている。同氏によると、「あらゆるレジストリパーミッションセットを回避」することが可能だという。
また、slipstream/RoLは、Dellの製品にプリインストールされているアプリケーション「Dell System Detect」が悪用されて、「Windows」のセキュリティ機能を回避し、ユーザーの権限を昇格させるおそれがあるとも述べている。Dell System Detectは、サポートコールの前に問題がないかユーザーのシステムをチェックするアプリケーションだ。
slipstream/RoLによると、攻撃者は署名されたアプリケーションを悪用し、ユーザーが諦めて権限の昇格を許可するまで、署名済みの「ユーザー アカウント制御」プロンプトを繰り返し表示させることが可能だという。
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。
CNET Japanの記事を毎朝メールでまとめ読み(無料)
ものづくりの革新と社会課題の解決
ニコンが描く「人と機械が共創する社会」
住環境に求められる「安心、安全、快適」
を可視化するための“ものさし”とは?
「程よく明るい」照明がオフィスにもたらす
業務生産性の向上への意外な効果
ZDNET×マイクロソフトが贈る特別企画
今、必要な戦略的セキュリティとガバナンス